将 nonce 属性添加到自动生成的 WebForms 脚本

Question

在我的网站上实现 CSP 标头时，我遇到了 webforms 添加到页面的自动生成的回发 JavaScript 的问题：

<script type="text/javascript">
//<![CDATA[
var theForm = document.forms['form1'];
if (!theForm) {
    theForm = document.form1;
}
function __doPostBack(eventTarget, eventArgument) {
    if (!theForm.onsubmit || (theForm.onsubmit() != false)) {
        theForm.__EVENTTARGET.value = eventTarget;
        theForm.__EVENTARGUMENT.value = eventArgument;
        theForm.submit();
    }
}
//]]>
</script>

为了支持其他一些内联脚本标签，我已经成功添加了nonce 属性；但是我找不到任何方法来修改这段生成的代码来做同样的事情。我已经探索了ClientScript.GetPostBackEventReference，但这似乎控制了其中的 JavaScript，与 <script> 标记本身的呈现无关。

解决方案不一定需要添加nonce 属性——只要符合要求即可。例如，如果有一个 ASP.NET 设置可以配置为将此脚本作为文件加载（我可以将其列入白名单），那很好。

Answer 1

祝你好运，在 ASP.NET 上使用 Webforms Scheme 实现一个好的 CSP - WebForms 控件将添加一大堆内联脚本，例如在这个登录按钮上：

<a id="btnLogin" class="btn btn-info pull-right" href="javascript:__doPostBack(&#39;btnLogin&#39;,&#39;&#39;)">Login</a>

如果你没有使用很多 <asp:... 控件，你可能会没事的。

要允许您想要运行上述脚本，您可以在script-src 之后将其添加到您的 CSP：

sha256-uVkxb0ccirYwSBxwdr2/4qtJEH1eBw7MslAgyLdAVVY="

它让您的浏览器知道它应该执行任何具有该 sha256 哈希的脚本。

如果您使用的换行符与我使用的换行符不同（我相信这是 windows 样式），我给您的哈希可能不起作用。

您还应该注意，如果您没有将默认表单 ID 更改为“form1”以外的其他内容的页面。

Answer 2

我们遇到了类似的问题，我们的解决方案是为这些 ASP.NET 脚本预先计算 SHA-256 哈希并将这些哈希添加到 CSP 标头中

/*
         //<![CDATA[
         var theForm = document.forms['aspnetForm'];
         if (!theForm) {
         theForm = document.aspnetForm;
         }
         function __doPostBack(eventTarget, eventArgument) {
         if (!theForm.onsubmit || (theForm.onsubmit() != false)) {
         theForm.__EVENTTARGET.value = eventTarget;
         theForm.__EVENTARGUMENT.value = eventArgument;
         theForm.submit();
         }
         }
         //]]>
         */
        "sha256-ATReICQsd+smV/PvrA4eH+DuxsenS4SxbGcSjySJlBA=",
         /*
         * //<![CDATA[
         * if (typeof(Sys) === 'undefined') throw new Error('ASP.NET Ajax client-side framework failed to load.');
         * //]]>
         */
        "sha256-2vr5KMButMK7a+bOf/ned/cPnF2yNooMulXA8E65wGw=",

将这些哈希添加到 CSP 标头

    string rule = $"script-src sha256-ATReICQsd+smV/PvrA4eH+DuxsenS4SxbGcSjySJlBA= sha256-2vr5KMButMK7a+bOf/ned/cPnF2yNooMulXA8E65wGw=";

        Response.AddHeader("Content-Security-Policy", rule);